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La presenle invention se rapporte au domaine des tElEcommunications et phis 
particulierement a la sEcurisation des transmissions, en particulier pour des services, 
qui fait appel a la cryptographie. 

Pour authentifier I'origine d'un document transmis par des moyens de 
telecommunication, il a ete developpe des mecanismes de signature Electronique. II 
faut noter que les termes ti-ansmission sous fonne Electronique sont couramment 
utilises pour qualifier une transmission d'un document par des moyens de 
tElEconmunication. Les documents dont il est question dans le contexte de l'invention 
se presentent obligatoirement sous forme numerique par opposition a une presentation 
sous forme papier; le terme message est utilise dans la suite de la demande pour 
designer ce type de document. Les mecanismes de signature electronique les plus 
courants reposent sur des techniques de cryptographie chtes a clE publique qui mettent 
en jeu une entite dite antorite de confiance. Habituellement, cette autorite de confiance. 
genere des certificats pour le compte d'utilisateurs des precedes courants a clE publiqui 
; ces certificats Etablissent un hen entre une clE publique et 1'identitE du proprietaire de 
cette cle. Pour mettre en ceuvre un tel procede, l'individu signataire du message doit 
prealablement se feire certifier aupres de Tautorite de confiance en lui communiquant 
au moins sa cle pubhque et son identity Lors de sa mise en ceuvre, le procede de 
signature calcule une signature Electronique du message en prenant en compte d'une . 
part le contenu du message et d'autre part la cle privee de l'individu. Le signataire 
transmet au destinataire le message, la signature et son certificat. Le destinataire du 
message verifie la signature electronique du message k Taide d'au moins la cl6 
publique et du contenu du message. 

Pour des applications particnlieres, telles que le vote electronique, les encheres 
electroniques ou le paiement electronique anonyme, il est necessaire de pouvoir 
disposer d'une signature electronique dite anonyme. Une signature electronique 
anonyme a les memes caracteristiques qu'une signature Electronique sauf que le 
destinataire ne peut determiner l'identite du signataire ; le signataire garde l'anonymat. 
Toutefois, le destinataire peut s'adresser a l'autorite de confiance qui dispose, par 
rintermediaire du certificat, d'un moyen pour level- 1'anonymat Parmi les differents 
types de signature anonyme, il existe un type particuher appele signature anonyme de 
groupe. Un procedE de signatoe anonyme de groupe permet a chaque membre d'un 
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groupe de produire une signature electronique qui soit caracteristique du groupe. Le 
destinataire d'un message accompagn£..d'une. signature anonyme de groupe peut 
verifier que la signature a et6 produite par un des membres du groupe. Toutefois il ne 
peut determiner, parmi les difF6rents membres du groupe, le membre dont il s'agit. 
5 Dans le contexte de ['invention, un groupe est un ensemble d'individus qui se 

d^clarent aupr&s d'une autoritfi comme appartenant a un m&ne groupe. Lors de cette 
declaration, chaque individu interagit avec Tautorite de confiance selon un protocole 

d&ermraS k Tissue duquel rindividu obtient une cle privfe, assoc iee a une cl6 publique 

de groupe pr6alablement d6termin6e par rautorit6 de confiance, et rautoritS et 

10 Tindividu obtiennent un identifiant de l'individu assocfe a cette cl6 privee. Chacun de 
ces individus est dans la suite de la demande d6sign6 par le terme de membre, Un 
exemple d'un tel protocole est decrit dans Particle de J.Camenisch et NtMichels qui a 
pour r6f6rence "Efficient group signature signature schemes for large groups", In 
B.Kaliski, editor, Advances in Cryptology - CRYPT097, volume 1296 of LNCS, 

15 pages 410 a 424, Springer-Verlag, 1997. La meme interaction intervient lors de 
l f arriv6e d f un nouveau membre. L'existence d'un groupe se traduit du cote de Tautorite 
de confiance par Pattribution au groupe d'une cl£ publique dite de groupe et par 
T attribution k chaque membre d'une cl6 privee associee k la cl£ publique, differente 
pour chaque membre, et d'un identifiant. A l'aide de sa c!6 privee, un membre peut 

20 produire une signature anonyme de groupe d'un message de son choix. Un destinataire 
quelconque peut verifier que cette signature a bien produite par un des membres du 
groupe k condition d'utiliser la cl£ publique de groupe. A Tissue de la verification, le 
destinataire a la certitude que la signature a &6 produite, ou pas, par un membre du 
groupe, mais il n'obtient aucune information sur 1' identifiant de ce membre; la 

25 signature est anonyme. Le destinataire a toutefois la possibilit£ de s'adresser k 
Tautorite de confiance qui peut determiner Tidentit£ du signatatre k partir de 
l'identifiant chiffte, au moyen d'une cl6 publique de Tautorite de confiance, qui 
accompagne la signature anonyme de groupe. L'autorit6 de confiance peut done lever 
Tanonymat k tout moment. 

30 Aprfe constitution aupr&s de Tautorite de confiance, un groupe peut £voluer. 

Selon un premier type devolution, de nouveaux individus peuvent devenir membres 
du groupe. Selon un deuxi&ne type devolution, des membres peuvent disparaitre, soit 
par le depart d'un individu du groupe, soit par Texclusion d'un individu du groupe ; 
pour ce type devolution, on parle de revocation. A chaque evolution du groupe, 

35 Tautorite de confiance est confrontee au probldme de dormer ou de retirer a un membre 
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du groupe les moyens de produire une signature anonyme du groupe. Le premier 
probleme pose, qui r&ide dans rattribution des moyens de produire une signature 
anonyme du groupe k un nouveau membre, est resolu en utilisant un des algorithmes 
de generation de cle publique/cl6 privee connus qui permettent d'associer k une m&ne 
cle publique autant de cles prives que necessaire. Un exemple d\in tel algorithme est 
decrit dans l'article de J.Camenisch et MMichels qui a pour reference "Efficient group 
signature signature schemes for large groups", In B.Kaliski, editor, Advances in 
Cryptology - CRYPT097, volume 1296 of LNCS, pages 410 k 424, Springer-Verlag 
1997. 

Le second probleme pose, qui reside dans le feit de retirer k un individu ces 
moyens, presente differentes solutions connues qui sont des precedes de revocation. 

Un premier de ces precedes est decrit dans l'article suivant de E. Bresson et J. 
Stem, « Efficient Revocation in group Signatures », in K. Kim, editor, Public Key 
Cryptography - PKC 2001, volume 1992 of LNCS, pages 190-206, Springer-Verlag,, 
2001. Ce precede repose sur le feit que chaque membre d'un groupe possede un 
identifiant qui lui est propre. Etant donne que la signature doit rester anonyme, il n'es^ 
pas possible de devoiler cet identifiant. Toutefois, selon le precede, l'identifiant du> 
signataire est divise par celui de chaque membre revoque ; le resultat de la division est' 
toujours different de 1 si et seulement si le signataire n'est pas lui-meme un membre 
revoqu6. Ensuite, le precede cbiffre, avec un algorithme de chiffrement, chacun des 
resultats de ces divisions et transmet au destinataire ces resultats chiffies accompagnes 
d'elements determines. Le destinataire exploite les elements determines et les resultats 
chiffies pour verifier d'une part que les divisions ont ete correctement effectuees et 
d'autre part que tous les resultats sont differents de 1 ; c'est-^-dire poui- s'assurer que 
la signature a et6 produite par un membre non revoqu6. 

Ce proc6d6 a pour inconvenient de generer une signature anonyme de groupe 
dont la longueur et le temps de calcul augmentent proportionnellement au nombre de 
membres revoques, etant donne qu'il y a autant de resultats chiffies et d'elements 
determines que de membres revoques. 

Un deuxieme de ces precedes de revocation est d6crit dans l'article de HJ. 
Kim, J.I. Lim et D.H. Lee qui a pour reference « Efficient and Secure Member 
Deletion in Group Signature Schemes », In D. Won, editor. Information Security and 
Cryptology - ICISC 2000, volume 2015 of LNCS, pages 150 et s. Springer-Verlag 
2000. Ce proc&te consiste k utiliser trois cles supplementaires en plus des cles 
necessaires a la reussite de la signature de groupe : une cle privee de propriet6 pour 
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chaque membre, une cle publique de propri6t6 pour permettre a chaque membre de 
verifier la validit6.de sa cle et me cte publique de renouvellement pennettant k chaque 
membre de modifier sa cl6 priv6e de propriety k chaque fois qu'un membre rejoint ou 
quitte le groupe. Pour chaque nouveau membre et pour chaque revocation d'un 
membre, l f autorit6 de confiance modifie la cl6 publique de propria et la cl6 de 
renouvellement. Chaque membre restant du groupe modifie sa propre cl6 priv6e de 
propriet6 a 1'aide de la cle de renouvellement et verifie sa validite gr§ce k la cl6 
publique de propri&6. Lors de la sig nature electronique d'un message, le membre 
signataire utilise sa cl6 priv6e de propriety Ainsi, le destinataire peut ventier la 
signature 61ectronique k l'aide de la cle publique de propri6te. Ce proced6 a pour 
inconvenient d'etre d'application particulfere car il est prouv6 sure uniquement dans un 
scMma de signature de groupe particulier qui correspond a cehii presents dans r article 
de J. Cameniseh, M. Michels, ayant pour reference « A group Signature Scheme with 
Improved Efficiency », In K. Ohta et D. Pei, editors, Advances in Cryptology - 
ASIACRYPT'98, volume 1514 of LNCS, pages 160-174. Springler-Verlag, 1998. En 
outre, ce precede est desavantageux en ce qu'il impose des calculs k chaque membre k 
chaque fois qu'un membre rejoint ou quitte le groupe ; or, ces calculs peuvent devenir 
frequents si la dynamique du groupe est importante. 

Uh des objectifs de l'invention est de rem&lier aux inconvdnients des methodes 
connues et prdc&temment dterites. 

A cet effet, Tinvention a pour objet un proc£d6 cryptographique mis en oeuvre 
par une carte k puce d'un ensemble de cartes a puce appartenant chacune k une 
premiere entite qui peut §tre difterente pour chaque carte a puce, chaque carte a puce 
etant 6quip6e d'une puce comprenant xm moyen de memorisation dans lequel sont 
memorises une cl6 secrete et un identifiant de la premiere entit6 propri&aire de la carte 
k puce et comprenant un moyen de calcul dans lequel est implante un algorithme de 
cryptographie ayant pour arguments d'entree au moins la cl6 secrete. Le procedS 
cryptographique selon Tinvention comprend les Stapes qui consistent : 

- avant tout calcul par le moyen de calcul de la puce de la carte k puce, a lire 
par la puce dans un moyen de memorisation d*une seconde entitS une liste 
d'identifiants des premieres entitfe propriet aires d'une carte a puce, cette 
liste etant liee k chaque 6tat attribue k chacune des premieres entites par la 
seconde entity 
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.- k comparer par la puce 1'identifiant memorise dans le moyen de 
memorisation de la puce et le contenu de la liste, pour autoriser ou interdire 
tout calcul du moyen de calcul en fonction du r6sultat de la comparaison. 
L'invention a en outre pour objet une carte k puce pour la mise en oeuvre d\m 
tel precede. 

Le proc6d6 selon l'invention consiste k interdire par la puce de la carte k puce 
tout calcul cryptographique implante dans la puce, lorsque le propri&aire de la carte k 
puce est dans un 6tat positionne k r6voqu6 par la seconde entity Dans le cas contraire, 
le proprietaire de la carte a puce est dans un 6tat positionne a non r6voque, la puce 
autorise le calcul. La seconde entity qui est typiquement une autorite de confiance, 
met k jour une liste des identifiants de chaque proprietaire de carte k puce dont 1'etat est 
r6voque ou non r6voque. Cette liste est memoris^e par la seconde entite dans un moyen 
de memorisation connecte a un reseau de telecommunication. Ce moyen est accessible 
par la carte a puce via un lecteur de carte a puce associe a un ordinateur tel un 
ordinateur personnel, hii-m§me connecte au reseau de telecommunication. 

Ainsi, un membre revoqu6 ne peut pas effectuer de calcul cryptographique si 
est revoque. Si Talgorithme de cryptographie implants dans la puce est un algorithme 
de calcul de signature anonyme, le proprietaire de la carte a puce ne peut pas signer un 
fichier au moyen de sa carte k puce s'il est revoque. 

Le precede selon l'invention peut €tre realise de maniere particulifere ; certaines 
realisations sont listees ci-apr£s de fa$on non-exhaustive. 

Selon une realisation particuliere, la liste comprend les identifiants des entites 
revoquees, dans ce cas la liste est dite liste noire. 

Selon une autre realisation particuliere, la liste comprend les identifiants des 
entites non revoquees, dans ce cas la liste est dite liste blanche. 

Selon une autre realisation particuliere, la liste est sign6e par la seconde entite ; 
la seconde entite calcule cette signature au moyen d\m algorithme de signature. Cet 
algorithme peut-Stre un algorithme asymetrique k cie publique tel que RS A, RSA etant 
les initiates des inventeurs Avant toute automation, la puce verifie la validite de la 
signature. Dans le cas d r un algorithme de signature a cie publique, la puce v&rifie la 
signature au moyen du meme algorithme asymetrique en prenant comme argument 
d'entree la cie publique. Cette verification permet d'authentifier la liste dans son 
ensemble et done de verifier son integrite 

Selon une autre realisation particuliere, chaque identifiant de la liste est associe 
a une valeur de comptage, chaque ensemble forme de Tidentifiant et de la valeur de 
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comptage associe etant sign6 par la seconde entite ; la liste comprend une valeur du 
udmbfe d , identifiants1ist& dans Larliste ainsi que la-signature de cette valeur. Chaque 
signature est calcutee de la meme maniere que dans la realisation pr6c6dente. Avant 
ioute autorisation, la puce verifie la validite de chaque signature, Cette verification 
pennet d'authentifier chaque identifiant de la liste, la valeur de comptage associe et la 
valeur lue du nomhre d'identifiants. En outre, la puce incr&nente un compteur k 
chaque lecture d'un identifiant en prenant en compte la valeur de comptage assoctee k 
— l I identifiant-lu-p^^ 

autorisation de calcul par la puce. Cette comparaison permet de verifier l'integrite du 
nombre d'identifiants lus. 

Selon une autre realisation particuliSre, la puce n'a acces par lecture dans le 
moyen de memorisation de la seconde entite qu'& une trace des identifiants de la liste et 
k une signature de cette trace. Cette trace est une chame de bits plus courte que la liste 
et est obtenue par un codage particulier de la liste. Selon cette realisation, la 
comparaison porte sur Kdentifiant memorise dans le moyen de memorisation de la 
puce et la trace et, avant autorisation par la puce de tout calcul du moyen de calcul, la 
puce verifie la validite de la signature pour aulhentifier la trace. 

D'autxes caracteristiques et avantages de Finvention apparaftront lors de la 
description qui suit et qui est faite eji regard des figures suivantes annexees de modes 
particuliers de realisation donnes a titre d'exemples non limitarifs. 

La figure 1 est un organigramme d r un procede cryptographique selon 
Finvention. 

La figure 2 est un organigramme d'un premier mode de realisation d'un proc6de 
cryptographique selon Finvention. 

La figure 3 est un organigramme d'un deuxieme mode de realisation d'un 
precede cryptographique selon Finvention. 

La figure 4 est un organigramme d'un exemple de mise en ceuvre par une puce 
du deuxieme mode de realisation cfun proc6de cryptographique selon l'invention. 

La figure 5 est un schema d'une carte a puce selon Finvention. 

La figure 1 est un organigramme d'un procede cryptographique selon 
Finvention. 

Le precede est mis en osuvre par une carte a puce d'un ensemble de cartes k 
puce appartenant chacune k une premi&re entite. Chaque premiere entite, typiquement 
une personne physique, peut etre diff6rente pour chaque carte a puce. Chaque carte a 
puce est equipee d'une puce qui comprend un moyen de memorisation et un moyen de 
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calcul. Une cie secrete et un identifiant de la premiere entity proprietaire de la carte k 
puce sont memorises dans le moyen de memorisation. Un algorithme de cryptographie 
ayant pour arguments d'entrte au moins la cl6 secrete est implant6 dans le moyen de 
calcul. 

Get algorithme de cryptographie peut tout aussi bien 6tre un algorithme de 
calcul de signature de groupe, un algorithme de chiffrement ou un algorithme de 
d6chiffrement. 

Un exemple d'algorithme de calcul de signature de groupe est decrit dans 
l'article de J.Camenisch et MStadler qui a pour reference "Efficient group signature 
schemes for large groups", In B.Kaliski, editor, Advances in Cryptology - 
CRYPT097, volume 1296 of LNCS, pages 410 k 424, Springer-Verlag, 1997. Une 
autre description est donnte dans 1'article de J.Camenisch et MMichels qui a pour 
rffeence "A group signature scheme with improved efficiency. In K.Ohta et D.Pei, 
editors, Advances in cryptology- ASIACRYPT98, volume 1514 of LNCS, pages 160-[ 
174. Springer-Verlag, 1998. L'algorithme RSA peut §tre utilise comme algorithme de!" 
chiffrement / dechiffrement. 

Le procede comprend piusieurs stapes ci-apr&s decrites. Pour signer, chiffrer ou 
dechiffrer, la puce active le moyen de calcul qui calcule une donnfe de sortie on 
fonction d'arguments d'entrte pr6sent& en entree de l'algorithme de cryptographie. 

Avant tout calcul 1 par le moyen de calcul de la puce de la carte k puce, le 
procede consiste k lire 2 par la puce dans un moyen de memorisation d'une seconde 
entite une liste d'identifiants des premieres entites proprietaires d'une carte k puce. De 
maniere totalement equivalence, le precede peut ecrire dans la puce une liste lue dans 
le moyen de memorisation d r une seconde entite. Dans la suite de la description, toute 
operation de lecture peut dtre remplac6e de maniere totalement equivalente par une 
operation d'ecriture. La liste est liee k chaque etat attribue k chacune des premieres 
entites par la seconde entite ; Tetat est positionne a revoqu6 ou non r6voqu6 par la 
seconde entite. La liste contient soft les premieres entites revoquees, il s'agit d'une liste 
noire, soit les premieres entites non revoquees, il s'agit d'une liste blanche. La seconde 
entite memorise cette liste dans un moyen de memorisation qui est accessible via un 
reseau de telecommunication. II peut s'agir d'un espace memoire sur un serveur ou sur 
une memoire de masse par exemple. 

Le procede consiste ensuite a comparer 3 par la puce l'identifiant memorise 
dans le moyen de memorisation de la puce et le contenu de la liste. Si, a Tissue de la 
comparaison, la puce trouve que la premiere entite est revoquee alors la puce interdit 4 
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tout calcul du moyen de calcul. Par contre, si, k Tissue de la comparaison, la puce 
" t'rbuve que la premiere entite estnou rdvoquee alors-la puce autorise-5 tout calcul du 
moyen de calcul. 

Pour mettre ea aeuvre par une puce la comparaison, le processus est le suivant. 
5 La puce initialise un t&noin k un. Elle compare successivement chague identifiant lu k 
Tidentifiant mSmorisS dans la puce ; s f il n*y a pas identity la puce positionne le ternoin 
a un sinon elle positionne le t6moin k zero. A Tissue de la comparaison entre chaque 

4deataant4u--et-Tidentifian t m £mnris6 Han s la puce, la puce interdit tout calcul du 

moyen de calcul si le t&noin est a un. Par contre si le t&noin est k z6ro, la puce 

1 0 autorise tout calcul du moyen de calcul 

Un premier mode de realisation dun procede cryptographique selon l'invention 
est illustre par la figure 2. Ce mode comprend les etapes d6crites en regard de la figure 
1, elles ne sont pas re-d6crites, et des etapes comptementaires ci-apres d£crites. La 
puce lit 10 en outre, en meme temps que la liste et dans la meme zone m&noire, une 

15 signature de cette liste. La signature est pr6alablement calculee par un moyen de calcul 
de la seconde entite. Avant autorisation 5 par la puce de tout calcul du moyen de 
calcul, la puce verifie 1 1 la validity de la signature pour authentifier la liste et pour 
verifier son inl6grit6. Si la signature n'est pas valide, la puce interdit 4 tout calcul du 
moyen de calcul, sinon elle autorise 5 le calcul. 

20 Un deuxi&me mode de realisation dun proc6d6 cryptographique selon 

l'invention est illustre par la figure 3. Ce mode comprend les etapes d&rites en regard 
de la figure 1, elle ne sont pas re-decrites, et des 6tapes complementaires ci-aprfes 
decrites. La puce lit 12, 13, 14 en outre, en meme temps que la liste et dans la meme 
zone m6moire, une valeur de comptage associee a chaque identifiant, une signature 

25 pour chaque ensemble compos6 d\m identifiant de cette liste et d*une valeur de 
comptage associee, la valeur du nomhre d'identifiants de cette liste ainsi qu'une 
signature de cette valeur. La signature de chaque identifiant et de sa valeur de 
comptage associee, la valeur du nombre d'identifiants et la signature de cette valeur 
sont prealablement calculdes par un moyen de calcul de la seconde entity et 

30 memorises dans la meme zone memoire que la liste. La puce incremente 15 un 
compteur a chaque lecture par la puce dun identifiant en prenant en compte la valeur 
de comptage associee k Tidentifiant, pour compter le nombre d'identifiants. Avant 
autorisation 5 par la puce de tout calcul du moyen de calcul, la puce v6rifie 16, 17 la 
validit6 de chacune des signatures pour authentifier respectivement chaque identifiant 
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de la liste et le nombre d'identifiants. Si une des signatures n'est pas valide, la puce 
interdit 4 le calcul. 

A Tissue de la lecture de la liste des identifiants, la puce compare 18 la valeur 
de son compteur k la valeur lue du nombre d'identifiants. Si ces valeurs sont 
5 diffSrentes, la puce interdit 4 tout calcul du moyen de calcul. Si ces valeurs sont 
identiques, la puce verifie 17 la validity de la signature de la valeur du nombre 
d'identifiants.La figure 5 illustre une raise en oeuvre par une puce de ce deuxieme 
mode. La puce initialise 19 un tdmoin k un et un compteur k z&o. La puce lit 20 un 
identifiant de la liste et la valeur de comptage associ6e, lit leur signature et incr&nente 

10 le compteur. La puce compare 21 le t6moin a z6ro. Si le t6moin est different de zero, la 
puce compare 22 Tidentifiant lu k Tidentifiant m6moris6 dans la puce ; s'il n'y a pas 
identity la puce positionne 23 le t6moin k un sinon elle positionne 24 le t&noin k z6ro. 
A Tissue de la comparaison entre Tidentifiant lu et Tidentifiant m6moris6 dans la puce 
ou si le t6moin est 6gal k z6ro, la puce verifie 25 la validite de la signature de 

15 Tensemble compos6 de Tidentifiant lu et de la valeur de comptage assoctee, Si la 
signature n'est pas valide, la puce interdit 4 tout calcul du moyen de calcul. Pai; contre 
si la signature est valide, la puce se met en attente de Tidentifiant suivant ou 26, s r il n ! y 
a plus d'identifiant dans la liste, la puce lit 27 la valeur du nombre d'identifiants et sa 
signature. La puce compare 18 la valeur du nombre d'identifiants avec la valeur de son 

20 compteur. Si ces valeurs sont difiSrentes, la puce interdit 4 tout calcul du moyen de 
calcul, sinon la puce v&ifie 17 la validite de la signature de la valeur du nombre lu. Si 
la signature n'est pas valide, la puce interdit 4 tout calcul du moyen de calcul. Par 
contre si la signature est valide, la puce teste 28 la valeur du nombre d'identifiants. Si 
le tdmoin est diff&ent de un, la puce interdit 4 tout calcul du moyen de calcul ; le 

25 membre est revoque. Sinon, la puce autorise 5 tout calcul du moyen de calcul. 

Selon une variante au premier mode decrit en regard de la figure 2, la puce n'a 
acc&s par lecture dans le moyen de memorisation de la seconde entit£ qu T a une trace 
des identifiants de la liste et k une signature de cette trace. La trace est une chame de 
bits plus courte que la liste et est obtenue par un codage de la liste selon par exemple 

30 une methode dite du "Superimposed Coding". Cette methode est decrite dans Tarticle 
de D.E. Knuth, "The Art of Computer Programming, Volume 3 / Sorting and 
searching. Addisson- Wesley Publishing Company, pages 559-563, 1973. Une mise en 
oeuvre par une puce de cette variante est d6crite au moyen de Texemple qui suit. 



Initialisation : 
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Soit Y 1'ensemble des elements dont on veut obtenir une trace, par exemple la 
liste desidentifiants. Yest initialise a Pensemble vide 07 " " 

On veut que les elements de Fsoient tous repr&entds dans une chafae (la trace) 
de taille fixe. On fixe cette taille a M = 1 6 bits. 

On fixe trois fonctions de hachage Qi h h 2 et h 3 ). Ces trois fbnctions prennent en 
entree un element de taille quelconque, par exemple un identifiant, et donnent en sortie 
un element de taille fixe. Pour Texemple la taille est telle que lament est un nombre 
^ompris^ntre^t^^ 

cod6 sur quatre bits est compris entre 0 = 0000 et 15 = 1 111. On suppose en outre, a 
priori, que les trois fonctions de hachage ne donnent jamais le m&ne r&ultat sur un 
m^me 616ment d'entree. 

Soit B la chaine r<§sultante. Elle a done une longueur de 16 bits. C'est la trace de 
1'ensemble Y que lit la puce. On initialise B = 0000000000000000 ( = b Is b ]4 bj 3 ...b I b 0 , 
e'est-^-dire que chaque /-feme bit de B est note &,). 

ItapeJU y 25 8 -» Y(Y= {y> 258 }) ; on ajoute un eiemeat a Y. 

hi{y 2 s8) = 2, h&is*) = 13, hsiym) = 12 ; on calcule les condenses du nouvel 
Element selon les trois fonctions de hachage, on obtient trois nombres distincts compris 
entre 0 et 15. 

On met des 1 aux endroits de B correspondants aux trois nombres 
precedemment obtenus. Les nombres precedemment obtenus sont 2, 13 et 12, par 
consequent on place les bits 2, 13 et 12 de B h 1, B = 001 1000000000100. 

Etape2 \ y 2} -» Y (7= {y 2S8 , y 2I }) ; on ajoute un deuxieme 6tement a Y. 

hj(y 2 j) = 5, h 2 (y 21 ) = 2, h 3 (y 2 j) = 8 ; on calcule les condenses du nouvel element 
selon les trois fonctions de hachage, on obtient trois nombres distincts compris entre 0 
et 15. 

On met des 1 aux endroits de B correspondants aux trois nombres 
precedemment obtenus. Les nombres pr6c£demment obtenus sont 2, 13 et 12, par 
consequent on place les bits 2, 13 et 12 de£ k 1, B = 0011000100100100. 

Etape3 \ y m -> Y(Y= {y 2S8 , y 2 j, yna}) ; on ajoute un troisteme 616ment k Y. 

hjtvm) « 9, h 2 (y 928 ) = 0, h 3 (y m ) = 1. 

Trois nouveaux bits sont mis a 1, B = 001 1001 1001 001 1 1. 

A Tissue de cette Stape, on possede un ensemble 7 contenant trois valeurs. La 
rq>r6sentation de Y est la chaihe (la trace) B qui est 001100110010011 1 (= 13095 en 
decimal ou 3327 en hexadecimal). La puce lit B et est capable de determiner si son 
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propre identifiant est contenu dans Y ou non avec une probability plus ou moins feible 
en mettant en oeuvre un test particulier. 

Soit la puce dont l'identifianf est y 822 , Cette puce veut tester si elle a le droit 
d'effectuer le calcul cryptographique. La puce effectue les operations suivantes. 
5 hj{ys22) = 8, hz(y822) - 14, fi3(y822) = 7 ; la puce calcuie des condenses lies k son 

identifiant On pent consid6rer que la puce les garde en m&noire m§me si le calcul 
n ! est pas long. Ensuite, la puce teste si chacun des bits correspondant aux trois nombres 
resultant des fonctions de hachage est k 0 ou k 1. S'ils sont tous k 1, alors il y a des 
chances pour que Tidentifiant soit dans la liste, auquel cas elle refuse de faire 
1 0 Top6ration cryptographique (mais elle peut se tromper. . .). Par contre, si elle tombe sur 
un 0, alors elle est sfire que Tidentifiant n'est pas dans la liste ; en effet, dans le cas 
contraire, le bit correspondant au r&ultat de la fbnction de hachage est mis k 1 lors du 
rajout de Tidentifiant correspondant dans 7. 

b 7 = 1 ? Oui => on continue 
!5 Z>/* = 1 ?Non=>j>4 g F. Cest vrai. Des que la puce tombe sur unO, elle est sQrb 

que son identifiant n'est pas dans Y. 

Soit la puce dont l'identifiant est y 2 s8> Cette puce veut tester si elle a le droit 
d'effectuer le calcul cryptographique. La puce effectue les operations suivantes. 

hi(y 42 2) = 2, h 2 (y 422 ) = 13, h 3 (y 422 ) = 12. 
.20 b 2 ~ 1 ? Oui => on continue 

b]3 — 1 ? Oui => on continue 

b ]2 -\l Oui => y 422 e Y. Cest vrai. Dans cet exemple, la puce trouve trois 1. 
La puce considere done qu'elle est r^voqu^e, ce qui est vrai puisqu'on a mit y 2 $% dans Y 
al'etapel. 

25 La figure 5 iliustre de manifere sch&natique une carte a puce selon Tinvention. 

La carte 30 a puce est equipee d*une puce 3 1 qui comprend au moins un moyen 

32 de memorisation, un moyen 33 de calcul et un moyen 34 de lecture dans un moyen 

de memorisation d"une seconde entite via un reseau de telecommunication et un moyen 

35 d'autorisation du moyen de calcul. 
30 Le moyen 32 de memorisation memorise une cl6 secrete et un identifiant d'une 

premiere entite proprietaire de la carte a puce. 

Dans le moyen 33 de calcul est implante un algorithme de cryptographie ayant 

pour arguments d'entree au moins la ele secrete. Le moyen 33 de calcul est en liaison 

avec le moyen 32 de memorisation. 
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Le moyen 34 de lecture permet de lire une liste d'identifiants dans le moyen de 
memorisation d*une seconde entite, viatm reseau de -telecommunication. Le moyen 34 
de lecture transmet les donnSes lues au moyen 33 de calcul ou/et au moyen 35 
d'autorisation par des liaisons avec chacun de ces moyens. 

Le moyen 35 d'autorisation autorise tout calcul par le moyen 33 de calcul en 
fonction du resultat dWe comparaison entre Tidentifiant et le contenu de la liste. 

Une telle carte 30 k puce permet la mise en oeuvre d'un procedd selon 
-4*mve&tio& 

Une premiere application d'un procede selon Finvention est le vote 
electronique. Le vote electronique se derouie en deux phases : 

- une inscription sur une liste electorate anpres d'une autorit6 administrative;, 

- une operation de vote aupres d*une urae connectee via un r&eau de 
communication a un serveur d*une administration des votes. 

Lors de Tinscription, l'electeur obtient dans une carte k puce, une cle privee 
personnelle et une cl6 privee de groupe. La signature anonyme que peut produire 
l'electeur au moyen de sa carte k puce, et a partir de sa cle privee personnelle, est dite 
"conrelable". Ceci signifie que, dans le cas oil Mecteur tenterait de signer de maniere 
anonyme un second bulletin de vote en produisant une signature anonyme, ce bulletin 
serait rejet6 par Fume. En effet, la signature anonyme etant correlable, Turne est en 
mesure de verifier qu r il s T agit d\me seconde signature anonyme. 

Un electeur malveillant ne peut pas pretendre avoir perdu sa cle privee de 
groupe, en recevoir une autre et etre en mesure de voter deux fois. En effet, la mise en 
oeuvre d'un procede selon Tinvention permet de lui interdire Putilisation de la premiere 
cle privee de groupe ; cette cle privee de groupe est mise k jour au moment oft il 
declare avoir perdu la premiere cle privee de groupe. Cette perte est geree par la mise 
en oeuvre d'un procede selon l'invention comme une revocation du membra 

Une seconde application d'un procedS selon l'invention est un service 
d'encheres electroniques. Les encheres font appel a trois protagonistes : un serveur 
d'encheres, une autorit6 de confiance et un client. L'ensemble des clients forme un 
groupe dit groupe des clients. Un utilisateur desirant s'inscrire au groupe des clients 
doit s'adresser a Tautoritd de confiance qui lui fournit sa cle privee personnelle dans 
une carte a puce. II obtient ainsi le droit de produire une signature anonyme de groupe. 
Muni de ce droit, il peut signer k l'aide de sa carte a puce chacune de ses encheres de 
maniere anonyme. Lors d*une enchere pom* un certain produit, chaque membre du 
groupe des clients peut encherir en signant un message contenant notamment le produit 
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mis en vente et le montant de son enchere. Le serveur d'encheres peut verifier 
l'appartenance au groupe et done la validity de I'ench&re en vferifiant la signature 
anonyme de groupe. Le vainqueur est celui qui donne la derni&re ench&re avant 
Tadjudication. Le dernier message regu par le serveur d'enchdres est done celui du 
vainqueur. Le serveur adresse alors ce message et la signature anonyme de groupe 
correspondante k TautoritS de confiance qui est la seule capable d'en lever Tanonymat 
et done de d&erminer l'identit6 physique de l'acheteur du produit mis aux ench&res. 

Les ench&res mettent en jeu des groupes dynamiques : de nouvelles personnes 
peuvent chaque jour s'inscrire au groupe, un membre peut quitter le groupe ou etre 
exclu pour fraude a tout moment. II est done indispensable de mettre en place un 
systeme de revocation pour empecher qu*un membre r6voque ne puisse se servir de sa 
signature de mantere frauduleuse. En effet, le membre r6voque pourrait continuer k 
utiliser sa c!6 pour participer aux ench&es et fausser le bon deroulement de ces 
demises par exemple en faisant monter le montant. Et, s'il prend soin de se retirer 
suffisamment tot du processus de %on a ne pas remporter les encteres en question, 
alors cette fraude n'est pas detectSe puisque seule l f identit6 du gagnant est finalement 
revSlee. La mise en oeuvre d*un proc6d6 selon Tinvention permet de r&oudr^ le 
probl&ne de revocation dun ou de membre(s) du groupe. 

Une troisieme application d'un proc&te selon Finvention est le paiement 
electronique. Elle met en jeu quatre protagoniste : un client, un commer?ant 5 une 
banque et une autorrte de confiance. Chaque client doit se faire identifier par le 
systeme et obtenir une cte priv£e de groupe memoris6e dans une carte k puce, avant de 
pouvoir effectuer sa premiere transactioa Pour effectuer un paiement, le client doit 
retirer des pieces 61ectroniques aupr£s de sa banque. Les pieces qu'il retire sont 
anonymes grace k Utilisation d r un mecanisme dit de signature aveugle. La ddpense 
d*une pi&ce C chez un commergant se fait de la mantere suivante : le client g6n6re au 
moyen de sa carte k puce une signature de groupe portant sur les pieces C et transmet 
Tensemble signature et pidces C au commei^ant. Le commer^ant v6rifie la signature de 
la banque attache a chaque ptece C et v&ifie la signature de groupe. Si chacune des 
deux signatures est valide, le commer^ant accepte la transaction. A un moment donne 
du jour, le commer9ant transmet k sa banque les signatures et les pieces revues en 
paiement pour virement a son compte. En cas de fraude, par exemple pax* la 
reutilisation d'une m£me ptece dans plusieurs transactions, la banque envoie la 
signature de groupe portant sur la ptece litigieuse k 1'autorite de confiance afin qu'elle 
identifie le client indelicat et sanctionne le contrevenant. 
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Un mecamsme Sable de revocation des cl6s compromises est n^cessaire afin 
d^viter une fraude du type suivant : un client malhonn&e signale-a rautoritd dc 
confiance la perte de sa cle privee s et d6cline alors toute responsabilite pour les 
fraudes qui pouiraient Stre commises avec s. Le client remet sa cl6 h son complice, 
lequel pent alors utiliser s pour signer les pieces c qu'il a 16gitimement retirees k la 
banque, puis les d6penser autant de fois qu'il le souhaite. Un proc6de selon l'invention 
pennet de r&oudre le probteme de la revocation des cl6s s. 
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1 • Precede cryptographique mis en oeuvre par une carte (30) a puce dim ensemble de 
cartes a puce appartenant chacune a une premiere entite qui pent etre difFerente 
pour chaque carte a puce, chaque carte a puce etant equipee dW puce (31) 
comprenant un moyen (32) de memorisation dans Iequel sont memorises une cle 
secrete et un identifiant de la premiere entite proprietaire de la carte (30) a puce et 
comprenant un moyen (33) de calcul dans Iequel est implante un algorithme de 
cryptographie ayant pour arguments d'entree au moins la cle secrete, caracterise 
en ce qu il comprend les etapes qui consistent : 

- avaut tout calcul par le moyen (33) de calcul de la puce (3 1) de la carte (30) 
i P«ce, a lire (2) par la puce (31) dans un moyen de memorisation d'une 
seconde entite une liste d'identifiants des premieres entites proprieties 
d'une carte a puce, cette liste etant liee a chaque etat attxibu* a chacune des 
premieres entites par la seconde entiti, 

- 4 comparer (3) par la puce (31) ridemifiant memorise dans Ie moyen (32) 
de memorisation de la puce (3 1) et Ie contenu de la liste, pour autoriser (5) 
ou mterdire (4) tout calcul du moyen (33) de calcul en fbnetion du r^ultat 
de la comparaison. 

2. Proc6d6 cryptographique selon la revendication 1, dans Iequel la liste comprend 
1 ensemble des premieres entites dont l'etat est positionne a r6voque par la seconde 
entite et dans Iequel l'autorisation (5) de calcul est donnee par la puce ("31) 
umquement si I'identifiant memorisd dans le moyen (32) de memorisation de la 
puce (3 1) nappartient pas a la liste. 

3. P ro ced6 cryptographique selon la revendication 1, dans Iequel la liste comprend 
1 ensemble des premieres entites dont Mat est positionne a non revoqu6 par la 
seconde entite et dans Iequel l'autorisation (5) de calcul est donnee par la puce 
(31) umquement si I'identifiant memorise dans le moyen (32) de memorisation de 
la puce (3 1) appartient a la liste. 

4. Precede cryptographique selon l'une des revendications 1 a 3, comprenant en 
outre les etapes qui consistent : 
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- en m&ne temps que la lecture (2) de la liste, a lire (10) une signature de 
cette-Hste-paHa puce (31) dans temoy^4e- memorisation de la^econda. 
entite, la signature ayant 6t6 prealablement calculte par un moyen de calcul 
de la seconde entite, 

- avant autorisation (5) par la puce de tout calcul du moyen (33) de calcul, a 
verifier (1 1) par la puce (31) la vaHdite de la signature. 

~ 5 — P rnc^de nrvntof > raptiiqiip <ie1rm 1W rfpg revendicati nns 1 et 2 T comprenant en 
outre les Stapes qui consistent : 

- en m&ne temps que la lecture (2) de la liste, a lire (12) des signatures des 
identifiants de la liste par la puce (31) dans le moyen de memorisation de la 
seconde entity chaque identifiant ayant donn6 lieu a une signature 
prealablement calculee par un moyen de calcul de la seconde entite, 

- en meme temps que la lecture (2) de la liste, k lire (1 3, 14) par la puce (31) 
dans le moyen de memorisation de la seconde entity une valeur du nombre 
d'identifiants listes dans cette liste ainsi qu'une signature de cette valeur, la 
valeur et sa signature ayant ete prealablement calculees par un moyen de 
calcul de la seconde entite, 

- avant autorisation (5) par la puce (31) de tout calcul du moyen (33) de 
calcul, a verifier (16, 17) par la puce (31) la vaUdite de chacune des 
signatures, 

- a compter (15) par la puce (31) le nombre d'identifiants contenus dans la 
liste hie, 

- avant autorisation (5) par la puce (31) de tout calcul du moyen (33) de 
calcul, a verifier (1 8) T6galit6 entre la valeur du compteur et la valeur hie. 

6. Procede cryptographique selon Tune des revendications 1 et 2, dans lequel la puce 
(3 1) n'a acc£s par lecture dans le moyen de memorisation de la seconde entite qu ! & 
une trace des identifiants de la liste et k une signature de cette trace, cette trace 
etant une chaine de bits plus courte que la liste et etant obtenue par un codage 
particulier de la liste, et dans lequel la comparaison (3) porte sur Tidentifiant 
memorise dans le moyen (32) de memorisation de la puce (3 1) et la trace, 
et en ce que le procede comprend en outre 1'etape qui consiste : 




- avant automation (5) par la puce (31) de tout calcul du moyen (33) de 
calcul, a verifier (11) par la puce (31) la validite de la signature pour 
authentifier la trace. 

Carte (30) a puce pour la mise en oeuvre dun procede selon l«une des 
revendications 1 a 7, caracterisee en ce qu'elle (30) est equipee d'une puce (3 1) qui 
comprend au mo ins : 

- un moyen (32) de memorisation d'une cle secrete et d\m identifiant d'une 
premiere entitdproprietaire de la carte a puce, 

- un moyen (33) de calcul dans lequel est implante un algorithme de 
cryptographie ayant pour arguments d'entree au moins la cle secrete, 

- un moyen (34) pour lire one liste d'identifiants dans un moyen de 
memorisation dune seconde entite, via un reseau de telecommunication, 

- un moyen (35) pour autoriser tout calcul par le moyen (33) de calcul en 
fonction du resultat d'une comparaison entre l'identifiant et le contenu de la 
liste. 
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CERTIFtCAT D'UTILITE 

Code do la proprtetd Intellectuelle - Llvre VI 



N B 11235*02 



DEPARTEMENTOEfi BREVETS 

26 bis, rue de Saint Pfetersbourg 
75800 Paris Cedex 08 



DESIGNATION D 1 INVEN7EUR(S) N° , / J. . 

(Si le demandeur n'est pas IMnvanteur ou I'unique inventeur) 



Vos rdf Srences pour ce dossier 

(famltatif) 


04134 


U° D'ENREGISTREMENT NATIONAL 





TTTRE DE L'lNVENTlON (200 caractdres ou a 
PROCEDE CRYPTOGRAPHIQUE DE REVOCATION A L'AIDE DUNE CARTE A PUCE 



LE(S) DEMANDEUR(S) : 

FRANCE TELECOM 
Society Anonyme 
6, place d'Alleray 
75015 PARIS 



DESIGNE(NT) EN TANT QU'f NVENTEUR(S) : (Indiquez en hant a droite nPage N° X/lu Sit y a plus de trois invaitteurs, 
utiltsez un farmulaire identique et numerotez chaque page en indiquant te nombre total de pages). 



Nom 


CANARD 


Prenoms 


Sebastien 


Adresse 


Rue 


4, Residence Olympia 




Code postal et vflle 


14000 | CAEN 


Societe d'appartenance (facullaUf) 


FRANCE TELCOM 


Nom 


GIRAULT 


Prenoms 


Marc 


Adresse 


Rue 


4, me Vtviane 




Code postal et ville 


14000 |CAEN 


Societe d'appartenance (fitculiatij) 


FRANCE TELECOM 


Nom 


TRAORE 


Prenoms 


Jacques 


Adresse 


Rue 


14, rue Emile Dron 




Code postal et ville 


61100 |flers 


Societe d'appartenance (famllalij) 




DATE ET SIGNATURES) 
DU (DES) DEMANDEUR(S) 
OU DU MANDATAIRE 
(Nom et qualite du signature) 




JEUNE Pascalc 

Mandataire par pouvoir PG 361 1 





La toi n°78-17 du 6 Janvier 1978 relath/e a I'informatique, aux fichiers et aux libertes s'applique aux reponses faftes a ce formulaire. 
Qle garantit un droft d'accfes et de rectification pour les donnees vous concemant aupres de I'lNPi. 
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